最后一次異常法

首先要把

Alt+o 調試設置 把忽略 所有異常的 √都取消掉

因為 要讓異常出現(xiàn)

按SHIFT+F9 讓異常出現(xiàn) 數(shù)幾次 直到軟件異常

這些異常就是殼的代碼 斷在最后一次異常

教程顯示SE處理程序 有可能是SE句柄 反正是

SE開頭的

 右鍵反匯編窗口跟隨

斷下 se這里  后單步跟蹤 注意向上的跳轉

- Jmp ebp 如果是-好 沒有上 沒有下 通常是一個

很大的跳轉

當處理完之后的最后一次異常，殼將會把控制權交換給應用程序， OEP ,也就不遠了。。。

作業(yè)解答：1、問脫殼插件有異常，提示內存無法讀取。解答：不要用Win7/win8脫殼，換論壇xp虛擬機，原因是ASLR基地址隨機化脫殼插件獲取的地址不對。2、問為什么脫殼地址和視頻里的地址不同。解答：如上一問題，不要用win7/win8脫殼，換論壇xp虛擬機，原因是ASLR基地址隨機化導致地址不同。3、問異常法脫殼去掉忽略異常后怎么無法暫停。解答：OD插件--StrongOD--Options--Skip Some Exceptions選項取消，重啟OD再試試。